提供此参考信息以帮助识别与不同管理工具关联的凭据泄露风险,以便进行远程管理。
在远程管理方案中,始终在源计算机上公开凭据,因此始终建议对敏感帐户或高影响帐户使用可信的特权访问工作站(PAW)。 凭据是否暴露在目标(远程)计算机上的潜在盗窃,主要取决于连接方法使用的 Windows 登录类型。
下表包含最常见的管理工具和连接方法指南:
| Connection method | Logon type | 目标上的可重用凭据 | Comments |
|---|---|---|---|
| 在控制台上登录 | Interactive | v | 包括硬件远程访问/灯出卡或基于网络的键盘、视频和鼠标(KVM)输入。 |
| RUNAS | Interactive | v | |
| RUNAS /NETWORK | NewCredentials | v | 克隆当前的 LSA 会话进行本地访问,但在连接到网络资源时使用新凭据。 |
| 远程桌面(成功) | RemoteInteractive | v | 如果远程桌面客户端配置为共享本地设备和资源,则这些设备也可能遭到入侵。 |
| 远程桌面(失败 - 登录类型被拒绝) | RemoteInteractive | - | 默认情况下,如果 RDP 登录失败凭据仅短暂存储。 如果计算机遭到入侵,则情况可能并非如此。 |
| 网络使用 * \\SERVER | Network | - | |
| Net use * \\SERVER /u:user | Network | - | |
| 远程计算机的 MMC 管理单元 | Network | - | 示例:计算机管理、事件查看器、设备管理器、服务 |
| PowerShell WinRM | Network | - | 示例:Enter-PSSession 服务器 |
| 使用 CredSSP 的 PowerShell WinRM | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| 没有显式凭据的 PsExec | Network | - | 示例:PsExec \\server cmd |
| 具有显式凭据的 PsExec | 网络 + 交互式 | v | PsExec \\server -u 用户 -p pwd cmd 创建多个登录会话。 |
| Remote Registry | Network | - | |
| 远程桌面网关 | Network | - | 对远程桌面网关进行身份验证。 |
| Scheduled task | Batch | v | 密码也保存为磁盘上的 LSA 机密。 |
| 以服务的形式运行工具 | Service | v | 密码也保存为磁盘上的 LSA 机密。 |
| Vulnerability scanners | Network | - | 大多数扫描程序默认使用网络登录,尽管某些供应商可能实现非网络登录并引入更多的凭据盗窃风险。 |
对于 Web 身份验证,请使用下表中的参考:
| Connection method | Logon type | 目标上的可重用凭据 | Comments |
|---|---|---|---|
| IIS “基本身份验证” | NetworkCleartext (IIS 6.0+) Interactive |
v | |
| IIS“集成 Windows 身份验证” | Network | - | NTLM 和 Kerberos 提供程序。 |
Column Definitions:
- 登录类型 - 标识连接启动的登录类型。
-
目标上的可重用凭据 - 指示以下凭据类型存储在本地登录指定帐户的目标计算机上的 LSASS 进程内存中:
- LM 和 NT 哈希
- Kerberos TGTs
- 纯文本密码(如果适用)。
此表中定义的符号如下:
- (-) 表示未公开凭据时。
- (v) 表示何时公开凭据。
对于不在此表中的管理应用程序,可以从审核登录事件中的登录类型字段确定登录类型。 有关详细信息,请参阅 审核登录事件。
在基于 Windows 的计算机中,无论使用哪种身份验证协议或身份验证器,所有身份验证都作为多种登录类型之一进行处理。 此表包括最常见的登录类型及其与凭据盗窃相关的属性:
| Logon type | # | Authenticators accepted | LSA 会话中的可重用凭据 | Examples |
|---|---|---|---|---|
| 交互式(也称为本地登录) | 2 | Password, Smartcard, other |
Yes | Console logon; RUNAS; 硬件远程控制解决方案(例如网络 KVM 或远程访问/服务器中的 Lights-Out 卡) IIS 基本身份验证(IIS 6.0 之前) |
| Network | 3 | Password, NT Hash, Kerberos ticket |
否(除非启用了委派,则存在 Kerberos 票证) | NET USE; RPC calls; Remote registry; IIS 集成 Windows 身份验证; SQL Windows 身份验证; |
| Batch | 4 | 密码(存储为 LSA 机密) | Yes | Scheduled tasks |
| Service | 5 | 密码(存储为 LSA 机密) | Yes | Windows services |
| NetworkCleartext | 8 | Password | Yes | IIS 基本身份验证(IIS 6.0 及更新); 使用 CredSSP 的 Windows PowerShell |
| NewCredentials | 9 | Password | Yes | RUNAS /NETWORK |
| RemoteInteractive | 10 | Password, Smartcard, other |
Yes | 远程桌面(以前称为“终端服务”) |
Column definitions:
- 登录类型 - 请求的登录类型。
- # - 安全事件日志中的审核事件中报告的登录类型的数字标识符。
- 接受的身份验证器 - 指示哪些类型的身份验证器能够启动此类型的登录。
- LSA 会话中的可重用凭据 - 指示登录类型是否会导致 LSA 会话持有凭据,例如纯文本密码、NT 哈希或 Kerberos 票证,这些票证可用于向其他网络资源进行身份验证。
- 示例 - 使用登录类型的常见方案列表。
Note
有关登录类型的详细信息,请参阅 SECURITY_LOGON_TYPE枚举。
Next steps